鄒珊 傅思宇 羅玨 馬韔

摘要：從理論根源和功能價(jià)值出發(fā)，GDPR數(shù)據(jù)主體同意制度以保護(hù)人格尊嚴(yán)為核心，以技術(shù)向善為導(dǎo)向，將“數(shù)據(jù)主體的同意”作為數(shù)字經(jīng)濟(jì)企業(yè)收集和處理個(gè)人數(shù)據(jù)最重要的合法性基礎(chǔ)。數(shù)據(jù)主體的有效同意須由數(shù)據(jù)主體自由、特定、知情、明確作出。中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)須以CNIL vs. Google LLM等案為戒，積極承擔(dān)合規(guī)義務(wù)，同時(shí)設(shè)立數(shù)據(jù)保護(hù)專員，強(qiáng)化企業(yè)內(nèi)部數(shù)據(jù)治理與監(jiān)督機(jī)制，自主或者委托第三方開(kāi)展數(shù)據(jù)治理與風(fēng)險(xiǎn)評(píng)估，對(duì)標(biāo)GDPR完善企業(yè)隱私政策并通過(guò)技術(shù)設(shè)計(jì)充分保障數(shù)據(jù)主體同意權(quán)，防控企業(yè)法律風(fēng)險(xiǎn)。

關(guān)鍵詞：一般數(shù)據(jù)保護(hù)條例;數(shù)字經(jīng)濟(jì)企業(yè);個(gè)人數(shù)據(jù)

中圖分類號(hào)： F724.6文獻(xiàn)標(biāo)志碼： A 文章編號(hào)：16720539（2020）01006107

一、引言

對(duì)于大數(shù)據(jù)時(shí)代的數(shù)據(jù)，無(wú)論其來(lái)源如何，都可被分為兩類：個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)。數(shù)據(jù)的 “可識(shí)別性”（identifiable）是區(qū)分個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)的關(guān)鍵標(biāo)準(zhǔn)。凡是單獨(dú)可以識(shí)別出特定自然人的數(shù)據(jù)或者與其他數(shù)據(jù)結(jié)合后能夠識(shí)別出自然人的數(shù)據(jù)，都是個(gè)人數(shù)據(jù);反之，則為非個(gè)人數(shù)據(jù)[1]。個(gè)人數(shù)據(jù)于數(shù)字經(jīng)濟(jì)企業(yè)而言具有商業(yè)價(jià)值，于數(shù)據(jù)主體而言具有人格利益。

個(gè)人數(shù)據(jù)是數(shù)字經(jīng)濟(jì)企業(yè)的生命。根據(jù)2016年G20杭州峰會(huì)《二十國(guó)集團(tuán)數(shù)字經(jīng)濟(jì)發(fā)展與合作倡議》中對(duì)數(shù)字經(jīng)濟(jì)的定義，數(shù)字經(jīng)濟(jì)企業(yè)（Digital Economy Enterprise）是從事以數(shù)字化的知識(shí)和信息為關(guān)鍵生產(chǎn)要素、以現(xiàn)代信息網(wǎng)絡(luò)為重要載體、以信息通信技術(shù)的有效使用為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動(dòng)力的一系列經(jīng)濟(jì)活動(dòng)的企業(yè)，主要以互聯(lián)網(wǎng)企業(yè)為代表，還包括農(nóng)業(yè)、工業(yè)等傳統(tǒng)領(lǐng)域以信息化為發(fā)展動(dòng)力的企業(yè)。對(duì)于企業(yè)而言， 個(gè)人信息（1）是創(chuàng)新和營(yíng)銷的資源， 構(gòu)成其核心競(jìng)爭(zhēng)力。個(gè)人信息是支撐個(gè)性化服務(wù)、個(gè)性化定制、智能化制造等的基礎(chǔ)， 是垂直經(jīng)濟(jì)、平臺(tái)經(jīng)濟(jì)、線上與線下融合經(jīng)濟(jì)等商業(yè)創(chuàng)新的靈魂。因而個(gè)人信息被視為競(jìng)爭(zhēng)資源、企業(yè)的新資產(chǎn)[2]。

保護(hù)個(gè)人數(shù)據(jù)是尊重人格利益的重要表現(xiàn)。隨著各國(guó)法學(xué)界對(duì)個(gè)人數(shù)據(jù)保護(hù)的關(guān)注度不斷提升，個(gè)人數(shù)據(jù)逐漸被納入到法律保護(hù)的范疇。例如德國(guó)對(duì)個(gè)人數(shù)據(jù)權(quán)的立法就經(jīng)過(guò)了由基本法保護(hù)到專項(xiàng)立法、由地方州立法到聯(lián)邦立法、由一般人格權(quán)到具體人格權(quán)、由僅規(guī)制公權(quán)力到規(guī)制公私雙領(lǐng)域的歷程。德國(guó)對(duì)公、私領(lǐng)域信息行為的態(tài)度， 經(jīng)過(guò)了“差別巨大——差異縮小——差距重新擴(kuò)大”的過(guò)程， 德國(guó)個(gè)人信息保護(hù)法的發(fā)展， 是典型的“螺旋式上升， 波浪式前進(jìn)”， 在否定之否定中不斷完善， 以適應(yīng)現(xiàn)實(shí)需要的過(guò)程.[3]。

近年來(lái)，互聯(lián)網(wǎng)技術(shù)的創(chuàng)新、大數(shù)據(jù)的崛起、跨境電子商務(wù)的迅猛發(fā)展沖擊著1995年歐盟《關(guān)于涉及個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的第95/46/EC號(hào)指令》（Directive95/46/EC，以下簡(jiǎn)稱“95指令”）。為營(yíng)造良好的信息流動(dòng)環(huán)境，歐盟制定了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）。GDPR以“任何收集或處理涉及歐盟所有成員國(guó)內(nèi)的個(gè)人數(shù)據(jù)的機(jī)構(gòu)組織”為規(guī)制對(duì)象，適用“長(zhǎng)臂管轄”原則（2），并伴有嚴(yán)格的監(jiān)管制度與嚴(yán)厲的處罰措施（3），一經(jīng)頒布即被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)法案”。2018年5月28日，臉書（Facebook）和谷歌（Google）等域外跨國(guó)數(shù)字經(jīng)濟(jì)企業(yè)因被指控未經(jīng)用戶有效同意收集和處理個(gè)人數(shù)據(jù)成為GDPR法案施行后的第一批被告，這應(yīng)引起從事跨國(guó)業(yè)務(wù)的中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)的重視。

對(duì)中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)而言，歐盟意味著五億余人口的市場(chǎng)。中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)想要“走出去”，并在激烈的國(guó)際競(jìng)爭(zhēng)中占據(jù)一席之地，必須重視并符合GDPR的規(guī)定，而獲取數(shù)據(jù)主體的有效同意是中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)合規(guī)的關(guān)鍵。

二、GDPR數(shù)據(jù)主體同意制度立法原意探析

GDPR數(shù)據(jù)主體同意制度可追溯到德國(guó)個(gè)人信息自決權(quán)理論。從制度功能價(jià)值的角度來(lái)看，GDPR數(shù)據(jù)主體同意制度將數(shù)據(jù)主體權(quán)利串聯(lián)起來(lái)形成完整的權(quán)利體系。一方面，該制度傾斜性保護(hù)數(shù)據(jù)主體，尊重人格利益，發(fā)揮著保護(hù)個(gè)人數(shù)據(jù)的重要作用。另一方面，該制度引導(dǎo)數(shù)字經(jīng)濟(jì)企業(yè)合規(guī)發(fā)展，積極承擔(dān)社會(huì)責(zé)任，驅(qū)動(dòng)科技向善發(fā)展。

（一）制度溯源：個(gè)人信息自決權(quán)理論

“個(gè)人信息自決權(quán)”是一項(xiàng)沒(méi)有明文規(guī)定但經(jīng)由德國(guó)法院判例發(fā)展和承認(rèn)下來(lái)的特別人格權(quán)（4）。1983年“人口普查案”直接推動(dòng)了德國(guó)個(gè)人信息保護(hù)立法理念的轉(zhuǎn)變——由借鑒美國(guó)的“隱私權(quán)保護(hù)”到植根于本土的“人格權(quán)保護(hù)”。德國(guó)憲法法院對(duì)個(gè)人信息自決權(quán)理論進(jìn)行了闡述（5），即個(gè)人有權(quán)根據(jù)自己的想法自行決定何時(shí)以及在何種限度內(nèi)披露有關(guān)其個(gè)人生活的事實(shí)。簡(jiǎn)而言之，信息自決權(quán)就是指當(dāng)事人擁有的對(duì)其自身相涉的數(shù)據(jù)自行決定披露與使用的終極掌控的權(quán)利。信息主體可以自由地決定其信息何時(shí)、何地、以何種方式被搜集、儲(chǔ)存和利用， 包括利用的主體是誰(shuí)， 可以再轉(zhuǎn)給何人， 為了何種目的等內(nèi)容[4]。

法律保護(hù)個(gè)人信息是為了維護(hù)個(gè)人的人格尊嚴(yán)和人格平等。確認(rèn)個(gè)人對(duì)其信息的自主支配， 就是要維護(hù)個(gè)人的人格尊嚴(yán)[5]?？档绿岢觥叭耸悄康摹崩砟畋汴U述了人的主體地位——“在全部被造物之中，人所愿欲的和他能夠支配的一切東西都只能被用作手段;唯有人，以及與他一起，每一個(gè)理性的創(chuàng)造物，才是目的本身”[6]。人本身是目的， 人應(yīng)該自治、自決， 凡是與人格形成、發(fā)展有關(guān)的情事， 本人有權(quán)自己決定， 并在此范圍內(nèi)， 排除他決、他律或他治[7]。其中，知情同意就是信息權(quán)利人對(duì)個(gè)人信息支配權(quán)的具體體現(xiàn)， 此種支配是一種獨(dú)占性的支配[8]。

以維護(hù)人的尊嚴(yán)為出發(fā)點(diǎn)的個(gè)人信息自決權(quán)理論對(duì)歐盟個(gè)人數(shù)據(jù)保護(hù)的法律框架影響頗深。GDPR以強(qiáng)化數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制為導(dǎo)向，在立法宗旨與目的中表明，“本法保護(hù)自然人的基本權(quán)利和自由，尤其是自然人的個(gè)人數(shù)據(jù)權(quán)”。在這一框架下，“數(shù)據(jù)主體的同意”成為允許他人收集和處理數(shù)據(jù)主體個(gè)人數(shù)據(jù)的重要條件。GDPR為數(shù)據(jù)控制者和處理者獲得收集和處理個(gè)人數(shù)據(jù)獲取用戶同意設(shè)置了嚴(yán)苛的條件——“同意由數(shù)據(jù)主體自由、特定、知情、明確作出”，讓數(shù)據(jù)主體在明晰的數(shù)據(jù)收集范圍和目的下自愿授權(quán)數(shù)據(jù)控制者和處理者收集和處理其個(gè)人數(shù)據(jù)，這充分尊重了數(shù)據(jù)主體的自決權(quán)。

（二）數(shù)據(jù)主體同意制度的功能價(jià)值

1.聯(lián)結(jié)數(shù)據(jù)主體權(quán)利，充當(dāng)權(quán)利束紐帶

在GDPR的數(shù)據(jù)主體權(quán)利體系中，數(shù)據(jù)主體的同意將訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、自動(dòng)化處理決定權(quán)、拒絕權(quán)串聯(lián)在一起，構(gòu)成個(gè)人數(shù)據(jù)權(quán)利束。在同意數(shù)據(jù)控制者收集其個(gè)人數(shù)據(jù)后，數(shù)據(jù)主體可通過(guò)行使訪問(wèn)權(quán)了解數(shù)據(jù)控制者和處理者處理其個(gè)人數(shù)據(jù)的具體情況。若個(gè)人數(shù)據(jù)信息有誤或者已更新，數(shù)據(jù)主體可要求其盡快修改;若數(shù)據(jù)主體對(duì)數(shù)據(jù)控制者和處理者處理個(gè)人數(shù)據(jù)的行為提出質(zhì)疑，則可暫時(shí)限制其個(gè)人數(shù)據(jù)的處理活動(dòng)。數(shù)據(jù)主體決定撤回同意，則其個(gè)人數(shù)據(jù)應(yīng)當(dāng)被數(shù)據(jù)控制者和處理者遺忘。這一邏輯完整的數(shù)據(jù)主體權(quán)利體系從數(shù)據(jù)主體的同意開(kāi)始到刪除權(quán)（被遺忘權(quán)）終止。

2.維護(hù)實(shí)質(zhì)公平，保障數(shù)據(jù)主體權(quán)利

在合同締結(jié)過(guò)程中，數(shù)據(jù)主體大多通過(guò)接受數(shù)據(jù)控制者提供的格式條款（如隱私政策、隱私條款等）行使同意權(quán)。數(shù)據(jù)主體無(wú)法就合同中對(duì)其數(shù)據(jù)權(quán)利有實(shí)質(zhì)性影響的條款與數(shù)據(jù)控制者進(jìn)行協(xié)商，因而格式條款的適用限制了數(shù)據(jù)主體的自由意志。一旦授權(quán)數(shù)據(jù)控制者和處理者收集或處理其個(gè)人數(shù)據(jù)，數(shù)據(jù)主體就對(duì)其個(gè)人數(shù)據(jù)失去事實(shí)上的控制力，即無(wú)法獲取相關(guān)數(shù)據(jù)處理信息，也無(wú)法決定個(gè)人數(shù)據(jù)的處理過(guò)程，數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)很大程度上依賴于數(shù)據(jù)控制者和處理者。出于保護(hù)弱勢(shì)一方的公平價(jià)值取向，數(shù)據(jù)主體同意制度為數(shù)據(jù)主體對(duì)其個(gè)人數(shù)據(jù)擬制出法律上的控制力。

個(gè)人數(shù)據(jù)中最突出的是因“可識(shí)別性”而形成的人格屬性。個(gè)人數(shù)據(jù)權(quán)就其主要內(nèi)容和特征而言， 在民事權(quán)利體系中， 應(yīng)當(dāng)屬于人格權(quán)的范疇[5]。人格權(quán)系以人格為內(nèi)容的權(quán)利，人格指人的尊嚴(yán)及價(jià)值，即以體現(xiàn)人的尊嚴(yán)價(jià)值的精神利益（ideele interese）為其保護(hù)客體[9]。法律保護(hù)個(gè)人信息權(quán)， 雖然以禁止披露相關(guān)信息為其表現(xiàn)形式， 但背后突出反映了對(duì)個(gè)人控制其信息資料的充分尊重[5]。數(shù)據(jù)主體同意制度通過(guò)確保數(shù)據(jù)主體的數(shù)據(jù)安全，可以間接保障數(shù)據(jù)主體的人身和財(cái)產(chǎn)安全。

3.促使企業(yè)承擔(dān)社會(huì)責(zé)任，形成企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)

流動(dòng)的個(gè)人數(shù)據(jù)是數(shù)字經(jīng)濟(jì)企業(yè)的關(guān)鍵生產(chǎn)要素，為數(shù)字經(jīng)濟(jì)企業(yè)源源不斷創(chuàng)造商業(yè)價(jià)值。由于數(shù)字經(jīng)濟(jì)企業(yè)從個(gè)人數(shù)據(jù)的利用中受益，其財(cái)富的積累也消耗了大量的社會(huì)資源，應(yīng)當(dāng)充分尊重?cái)?shù)據(jù)主體的權(quán)利，承擔(dān)保障數(shù)據(jù)安全的社會(huì)責(zé)任，消除其發(fā)展過(guò)程中產(chǎn)生的負(fù)外部性。

企業(yè)承擔(dān)社會(huì)責(zé)任與營(yíng)利性并非絕對(duì)對(duì)立，在良性互動(dòng)的情況下，企業(yè)承擔(dān)社會(huì)責(zé)任也能夠與其營(yíng)利目標(biāo)相一致[10]。符合社會(huì)公眾利益的行為， 或者是引導(dǎo)顧客向著有益消費(fèi)結(jié)構(gòu)變化的行為， 會(huì)使企業(yè)因顧客的青睞而獲得豐厚的利潤(rùn)[11]。雖然數(shù)據(jù)主體同意制度限制數(shù)字經(jīng)濟(jì)企業(yè)收集和處理個(gè)人數(shù)據(jù)的行為，看似增加了企業(yè)經(jīng)營(yíng)成本，但數(shù)字經(jīng)濟(jì)企業(yè)若采取積極合規(guī)行為，塑造科技向善的經(jīng)營(yíng)理念，無(wú)疑將獲得更高的商譽(yù)，實(shí)現(xiàn)潛在用戶市場(chǎng)的逐步擴(kuò)張。因此，從長(zhǎng)遠(yuǎn)來(lái)看，符合數(shù)據(jù)主體同意制度的規(guī)定將提升企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，實(shí)現(xiàn)長(zhǎng)期性的盈利目的。

三、GDPR數(shù)據(jù)主體同意制度規(guī)制下Google存在的問(wèn)題

（一）案件基本事實(shí)

2018年5月25日和28日，None of Your Business （以下簡(jiǎn)稱NOYB）和La Quadrature du Net （以下簡(jiǎn)稱LQDN）兩個(gè)非營(yíng)利組織分別向法國(guó)國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)（以下簡(jiǎn)稱CNIL）投訴，稱Google在創(chuàng)建賬戶時(shí)向Android操作系統(tǒng)用戶提供的隱私政策中未履行充分告知義務(wù)，且Google將用戶個(gè)人數(shù)據(jù)進(jìn)行分析和用于個(gè)性化廣告未征得用戶自由、知情、特定、明確的同意，缺乏收集和處理個(gè)人數(shù)據(jù)的有效法律依據(jù)。經(jīng)調(diào)查，CNIL確認(rèn)Google在處理用戶個(gè)人數(shù)據(jù)時(shí)存在缺乏透明度、用戶獲知信息不充分以及缺乏對(duì)個(gè)性化廣告的有效同意等問(wèn)題，并于2019年1月21日，根據(jù)GDPR對(duì)Google處以5000萬(wàn)歐元的罰款[12]。目前，Google宣布將在法國(guó)最高行政法院對(duì)該決定提出上訴（6）。

（二）爭(zhēng)議焦點(diǎn)之分析：“明確同意”與“明示同意”

Google辯稱其為提供個(gè)性化廣告服務(wù)所收集和處理的瀏覽記錄等個(gè)人數(shù)據(jù)不屬于敏感個(gè)人數(shù)據(jù)，不適用第9條第（2）項(xiàng)第（a）款中“明示同意”（explicit consent）要求，因此其收集用戶數(shù)據(jù)的行為符合GDPR的規(guī)定。CNIL未采納這一抗辯理由，認(rèn)為其仍違反了第4條第（11）項(xiàng)中“明確同意”（unambiguous consent）要求。顯然，在本案中，Google對(duì)“明示同意”與“明確同意”產(chǎn)生了混淆。

以個(gè)人數(shù)據(jù)與隱私的關(guān)聯(lián)程度為標(biāo)準(zhǔn)，GDPR將個(gè)人數(shù)據(jù)分為一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)（7）。數(shù)字經(jīng)濟(jì)企業(yè)在收集和處理敏感個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)取得數(shù)據(jù)主體的“明示同意”，是對(duì)GDPR第4條第（11）項(xiàng)中“明確同意”要求的特殊規(guī)定。針對(duì)敏感個(gè)人數(shù)據(jù)與一般個(gè)人數(shù)據(jù)，立法者在“同意”前使用不同的限定詞（unambiguous與explicit），這是一個(gè)明確的語(yǔ)言指標(biāo)，即兩者之間存在差異。在牛津高階詞典中，unambiguous是指意思清楚的、無(wú)歧義的，而explicit指明晰的、明確的?？梢?jiàn)，GDPR對(duì)敏感個(gè)人數(shù)據(jù)的保護(hù)高出一般個(gè)人數(shù)據(jù)的“明確同意”的要求。

敏感信息是指構(gòu)成個(gè)人隱私的信息，一般信息是指通常狀態(tài)下不構(gòu)成隱私的信息[13]。對(duì)于一般個(gè)人數(shù)據(jù)，同意須以明確的聲明或者明確肯定的積極行為作出，包括明示同意和默示同意?！懊鞔_同意”僅需要數(shù)據(jù)主體做出愿提供其個(gè)人數(shù)據(jù)的行為即可。盡管留下了通過(guò)解釋特定情境下用戶某些行為而確定同意的空間，但鑒于GDPR整體的嚴(yán)格保護(hù)傾向，可預(yù)見(jiàn)“非明示”同意的解釋空間不會(huì)擴(kuò)展太大[14]。敏感個(gè)人數(shù)據(jù)與數(shù)據(jù)主體的隱私通常存在緊密關(guān)聯(lián)，其泄漏或不當(dāng)處理將給數(shù)據(jù)主體的人身財(cái)產(chǎn)安全帶來(lái)極大威脅，因此數(shù)據(jù)主體僅可通過(guò)明示同意授權(quán)數(shù)字經(jīng)濟(jì)企業(yè)收集和處理其敏感個(gè)人數(shù)據(jù)。“明示同意”既需要數(shù)據(jù)主體作出明確同意該聲明的行為（如勾選“我同意”的選擇框），又需要數(shù)據(jù)主體愿提供其特定個(gè)人數(shù)據(jù)的明確聲明。

（三）同意規(guī)范之展開(kāi)

根據(jù)GDPR第4條第1款第（11）項(xiàng)， 數(shù)據(jù)控制者和處理者應(yīng)確保數(shù)據(jù)主體的同意滿足“自由、特定、知情、明確”的要求（8）?？v觀CNIL vs. Google LLM案，Google違反的同意規(guī)范如下。

1.知情（informed）的同意

同意應(yīng)當(dāng)在數(shù)據(jù)主體知情的前提下作出，這要求數(shù)字經(jīng)濟(jì)企業(yè)在收集和處理個(gè)人數(shù)據(jù)的全過(guò)程中承擔(dān)充分告知義務(wù)，即就數(shù)據(jù)處理活動(dòng)向數(shù)據(jù)主體作出充分的說(shuō)明。在獲取數(shù)據(jù)主體積極同意前，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)主動(dòng)向其告知個(gè)人數(shù)據(jù)的相關(guān)信息（9）。數(shù)字經(jīng)濟(jì)企業(yè)提供的信息應(yīng)當(dāng)是完整、易理解的，且須采取顯著方式引起數(shù)據(jù)主體的注意。

本案中，Google在隱私政策中缺乏對(duì)其服務(wù)的充分說(shuō)明，使得用戶無(wú)法準(zhǔn)確理解其處理個(gè)人數(shù)據(jù)的目的、范圍等重要信息。

一是廣告?zhèn)€性化服務(wù)的操作信息被分散到幾個(gè)文檔中，使得用戶無(wú)法知道這一操作涉及哪些服務(wù)、網(wǎng)站和應(yīng)用程序，也不知道其中嵌入和組合的數(shù)據(jù)量。用戶在信息不對(duì)稱的情況下，對(duì)Google收集其個(gè)人數(shù)據(jù)的目的、范圍等重要事項(xiàng)易產(chǎn)生誤解，其同意缺乏真實(shí)的意思表示。同時(shí)，Google未向用戶提供其用于個(gè)性化廣告的個(gè)人數(shù)據(jù)來(lái)源（如Google賬戶，YouTube或第三方網(wǎng)站共享）的明確信息，使得用戶無(wú)法對(duì)Google數(shù)據(jù)處理活動(dòng)進(jìn)行有效監(jiān)督。

二是Google在“信息如何保存”頁(yè)面使用了四項(xiàng)涉及期限的描述，包括“保留信息直至刪除”“超過(guò)期限的信息”“您刪除Google賬戶之前的信息”“由于特定原因，信息會(huì)長(zhǎng)時(shí)間保存”。但上述規(guī)定十分模糊，沒(méi)有明確的保存時(shí)間或確定該期限的標(biāo)準(zhǔn)。

2.明確（unambiguous）的同意

不論是一般個(gè)人數(shù)據(jù)還是敏感個(gè)人數(shù)據(jù)，GDPR均排除了沉默、預(yù)先勾選對(duì)話框等以不作為方式作出的同意[15]。雖然在創(chuàng)建賬戶后，用戶可以通過(guò)單擊“更多選項(xiàng)”對(duì)廣告?zhèn)€性化選項(xiàng)進(jìn)行修改，但Google已預(yù)先勾選了同意選項(xiàng)并誤導(dǎo)用戶在不知情的情況下作出同意。CNIL認(rèn)為，Google關(guān)于個(gè)性化廣告的設(shè)置完全可以從“更多選項(xiàng)”中獨(dú)立出來(lái)。Google預(yù)先勾選選擇框的行為，使得用戶必須再次點(diǎn)擊“更多選項(xiàng)”來(lái)修改設(shè)置，因此用戶后續(xù)點(diǎn)擊“確認(rèn)”并非通過(guò)積極行為同意將其數(shù)據(jù)用于個(gè)性化廣告的表示，不符合同意的“明確”要求。

3.特定（specific）的同意

GDPR第6條第（1）款第（a）項(xiàng)確認(rèn)數(shù)據(jù)主體的同意必須與“一個(gè)或多個(gè)特定”目的相關(guān)，并且數(shù)據(jù)主體可以就每一個(gè)目的進(jìn)行選擇[15]。數(shù)據(jù)主體的同意僅在依據(jù)特定目的被授予時(shí)才有效，即數(shù)字經(jīng)濟(jì)企業(yè)收集的數(shù)據(jù)必須具有用于特定數(shù)據(jù)處理的目的，這也被稱為目的限制。

在創(chuàng)建賬戶之前，Google要求用戶勾選“我同意Google的服務(wù)條款”和“我同意如上所述處理我的信息，并在隱私政策中進(jìn)一步說(shuō)明”的選擇框才能完成創(chuàng)建，用戶只能選擇完全接受或者完全不接受Google實(shí)施的所有個(gè)人數(shù)據(jù)處理行為。通過(guò)捆綁的方式，Google將用戶創(chuàng)建賬戶的行為與授權(quán)同意對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理的行為混合，并基于這一概括的同意將用戶個(gè)人數(shù)據(jù)用于個(gè)性化廣告。CNIL認(rèn)為Google隱私政策中同意選項(xiàng)的設(shè)置沒(méi)有尊重GDPR，因?yàn)镚DPR規(guī)定，只有在為每個(gè)目的明確給出同意時(shí)，數(shù)據(jù)主體的同意才是“特定”的，而這種概括同意的方式不符合同意的“特定”性質(zhì)。

4.自由（freely given）的同意

數(shù)據(jù)主體在表示同意時(shí)，能否作出真實(shí)的意思表示而享有真正的選擇自由，可否自由拒絕和撤回其同意而免遭不利后果，是鑒別其同意是否“自由作出”的標(biāo)準(zhǔn)。

同意不能是簽訂服務(wù)協(xié)議的唯一先決條件。如果一項(xiàng)同意是被捆綁作為條款的一個(gè)不可協(xié)商的部分，則推定該同意不是自愿作出的[15]。在本案中，為了能夠訪問(wèn)其Google賬戶，用戶必須同意Google提供的格式條款，包括同意Google收集和處理其個(gè)人數(shù)據(jù)，然后才能更改個(gè)性化廣告自定義選項(xiàng)的設(shè)置。該操作實(shí)為變相強(qiáng)制用戶同意Google的隱私政策，違反了同意“自由作出”的要求。

綜上所述，Google公司違反了GDPR關(guān)于獲取數(shù)據(jù)主體同意“自由、特定、知情、明確”的規(guī)定，其收集和使用個(gè)人數(shù)據(jù)的行為不具有合法性，嚴(yán)重侵害了數(shù)據(jù)主體的個(gè)人數(shù)據(jù)權(quán)利。

四、應(yīng)對(duì)GDPR數(shù)據(jù)主體同意制度的策略探討

CNIL vs. Google LLM案揭露了Google公司在個(gè)人數(shù)據(jù)保護(hù)中存在制度性缺陷，其高額的罰款和信譽(yù)的損失給數(shù)字經(jīng)濟(jì)行業(yè)敲響了警鐘。根據(jù)GDPR“長(zhǎng)臂管轄”原則，從事跨國(guó)業(yè)務(wù)的中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)一旦收集或處理歐盟境內(nèi)居民的個(gè)人數(shù)據(jù)就會(huì)受其規(guī)制。為防范和化解今后在歐洲互聯(lián)網(wǎng)市場(chǎng)競(jìng)爭(zhēng)中的法律風(fēng)險(xiǎn)，中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)從Google案中汲取經(jīng)驗(yàn)教訓(xùn)，積極承擔(dān)相應(yīng)合規(guī)義務(wù)，做好下列工作。

（一）設(shè)立數(shù)據(jù)保護(hù)專員，強(qiáng)化企業(yè)內(nèi)部數(shù)據(jù)治理與監(jiān)督機(jī)制

首先，為了確保數(shù)據(jù)保護(hù)專員職責(zé)的有效履行，其應(yīng)當(dāng)具有獨(dú)立性。數(shù)據(jù)保護(hù)專員由獨(dú)立于企業(yè)并具備個(gè)人數(shù)據(jù)保護(hù)方面相關(guān)專業(yè)知識(shí)的專職人員擔(dān)任，數(shù)字經(jīng)濟(jì)企業(yè)不得因?yàn)閿?shù)據(jù)保護(hù)專員正常履職的行為對(duì)其解雇或者處罰。除此之外，數(shù)字經(jīng)濟(jì)企業(yè)不僅應(yīng)當(dāng)為其提供培訓(xùn)和交流的機(jī)會(huì)，還應(yīng)當(dāng)減輕或免除數(shù)據(jù)保護(hù)專員其他方面的工作職責(zé)，使其法定監(jiān)督職能得以保障。

其次，數(shù)據(jù)經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)積極配合數(shù)據(jù)保護(hù)專員開(kāi)展數(shù)據(jù)保護(hù)監(jiān)督工作。數(shù)據(jù)保護(hù)專員日常監(jiān)控用戶數(shù)據(jù)安全狀況，定期對(duì)用戶數(shù)據(jù)保護(hù)情況進(jìn)行調(diào)查，并針對(duì)企業(yè)內(nèi)部出現(xiàn)的用戶數(shù)據(jù)安全問(wèn)題直接向高級(jí)管理層報(bào)告并提出建議，促進(jìn)數(shù)字經(jīng)濟(jì)企業(yè)積極落實(shí)數(shù)據(jù)保護(hù)義務(wù)。數(shù)字經(jīng)濟(jì)企業(yè)須積極接受數(shù)據(jù)保護(hù)專員的監(jiān)督，在個(gè)人數(shù)據(jù)收集和處理活動(dòng)中嚴(yán)格遵守GDPR的規(guī)定，完善企業(yè)內(nèi)部數(shù)據(jù)治理機(jī)制。

（二）通過(guò)技術(shù)設(shè)計(jì)充分保障數(shù)據(jù)主體同意權(quán)，防控企業(yè)法律風(fēng)險(xiǎn)

為了讓數(shù)據(jù)主體信任數(shù)字經(jīng)濟(jì)企業(yè)的數(shù)據(jù)收集行為，確保收集到的個(gè)人數(shù)據(jù)不會(huì)被非法或歧視性使用，需要從技術(shù)層面加以攻克。

（1）數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)在企業(yè)和用戶之間建立溝通平臺(tái)。在訂立隱私政策的過(guò)程中，數(shù)據(jù)主體可通過(guò)該溝通平臺(tái)就隱私政策中對(duì)其個(gè)人數(shù)據(jù)權(quán)利有實(shí)質(zhì)性影響的內(nèi)容提出協(xié)商請(qǐng)求，數(shù)字經(jīng)濟(jì)企業(yè)無(wú)正當(dāng)理由不得拒絕。在依法完成個(gè)人數(shù)據(jù)的收集后，數(shù)字經(jīng)濟(jì)企業(yè)可通過(guò)該溝通平臺(tái)定期向數(shù)據(jù)主體發(fā)布關(guān)于其個(gè)人數(shù)據(jù)處理活動(dòng)的聲明和通知，數(shù)據(jù)主體也可以通過(guò)簡(jiǎn)易方式行使訪問(wèn)權(quán)、限制處理權(quán)和撤回同意，從而解決以往數(shù)字經(jīng)濟(jì)企業(yè)單方通知，而數(shù)據(jù)主體被迫同意且無(wú)法提出異議的問(wèn)題。

（2）數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)為企業(yè)內(nèi)部的數(shù)據(jù)查詢系統(tǒng)設(shè)置安全權(quán)限，保留查詢、復(fù)制等操作的痕跡。如果有人通過(guò)系統(tǒng)對(duì)用戶個(gè)人數(shù)據(jù)進(jìn)行批量復(fù)制下載，系統(tǒng)自動(dòng)發(fā)出安全警告并向管理人員及時(shí)發(fā)送報(bào)告，以防企業(yè)內(nèi)部有權(quán)讀取用戶數(shù)據(jù)的人員竊取用戶個(gè)人數(shù)據(jù)。

（3）數(shù)字經(jīng)濟(jì)企業(yè)可在隱私政策頁(yè)面和提示窗口添加自動(dòng)截圖功能，記錄用戶授權(quán)企業(yè)收集和處理其個(gè)人數(shù)據(jù)的全過(guò)程，根據(jù)日期建立證據(jù)庫(kù)。因數(shù)據(jù)主體同意權(quán)產(chǎn)生糾紛時(shí)，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)就其已獲取數(shù)據(jù)主體的有效同意承擔(dān)舉證責(zé)任，此舉有利于降低數(shù)字經(jīng)濟(jì)企業(yè)在訴訟中的法律風(fēng)險(xiǎn)。

（三）自主或者委托第三方開(kāi)展數(shù)據(jù)治理與風(fēng)險(xiǎn)評(píng)估

為實(shí)現(xiàn)人工智能系統(tǒng)在整個(gè)生命周期內(nèi)對(duì)用戶隱私和數(shù)據(jù)進(jìn)行有效治理，包括保障用戶最初提供的數(shù)據(jù)以及用戶在與系統(tǒng)交互過(guò)程中生成的關(guān)于用戶的數(shù)據(jù)安全[16]，數(shù)字經(jīng)濟(jì)企業(yè)須自主或者委托第三方開(kāi)展數(shù)據(jù)治理與風(fēng)險(xiǎn)評(píng)估。

（1）預(yù)先數(shù)據(jù)評(píng)估。為獲取數(shù)據(jù)主體的有效同意，數(shù)據(jù)評(píng)估工作是在數(shù)字經(jīng)濟(jì)企業(yè)收集個(gè)人數(shù)據(jù)前必不可少的步驟。首先，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)結(jié)合其業(yè)務(wù)范圍和服務(wù)類型，明確其所需個(gè)人數(shù)據(jù)的范圍，避免超出必要目的收集個(gè)人數(shù)據(jù)。其次，由于GDPR針對(duì)不同類型的數(shù)據(jù)（一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)）規(guī)定了差異化的授權(quán)同意方式，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)預(yù)先評(píng)估其需要收集的個(gè)人數(shù)據(jù)類型，以便合理設(shè)計(jì)其隱私政策。再次，GDPR確立了數(shù)據(jù)保護(hù)影響評(píng)估制度（10）。該制度要求數(shù)據(jù)控制者在可能發(fā)生高風(fēng)險(xiǎn)的數(shù)據(jù)處理前，科學(xué)、客觀地評(píng)估處理引起風(fēng)險(xiǎn)的來(lái)源、性質(zhì)、嚴(yán)重性，避免個(gè)人信息安全事故的發(fā)生和保護(hù)風(fēng)險(xiǎn)的現(xiàn)實(shí)化[14]。

（2）提供新服務(wù)時(shí)的數(shù)據(jù)評(píng)估。為符合“特定同意”的要求，至遲在收集個(gè)人數(shù)據(jù)前，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)在隱私政策中明確特定目的作為其收集和處理個(gè)人數(shù)據(jù)的自我約束條件。當(dāng)數(shù)字經(jīng)濟(jì)企業(yè)推出新業(yè)務(wù)時(shí)，應(yīng)當(dāng)將擬收集的數(shù)據(jù)范圍與原范圍進(jìn)行比較，并審查數(shù)據(jù)的收集和處理是否符合原有目的，便于其針對(duì)不同情況決定是否向用戶發(fā)送補(bǔ)充條款，避免因違反目的限定原則帶來(lái)的不利后果。

（3）定期數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估。為了避免訴訟風(fēng)險(xiǎn)和高額處罰，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)定期評(píng)估數(shù)據(jù)風(fēng)險(xiǎn)。首先，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)審查企業(yè)內(nèi)部用戶數(shù)據(jù)庫(kù)，辨別其收集和處理的個(gè)人數(shù)據(jù)是否獲得了用戶的有效同意。其次，數(shù)字經(jīng)濟(jì)企業(yè)還應(yīng)當(dāng)審查其與第三方共享的用戶數(shù)據(jù)，確保數(shù)據(jù)共享得到了用戶的有效授權(quán)。如若在上述過(guò)程中，數(shù)字經(jīng)濟(jì)企業(yè)審查發(fā)現(xiàn)相關(guān)數(shù)據(jù)未得到數(shù)據(jù)主體授權(quán)，應(yīng)當(dāng)及時(shí)刪除并向數(shù)據(jù)主體作出賠償。

（4）探索建立良性互動(dòng)機(jī)制。監(jiān)管部門熟知GDPR相關(guān)規(guī)定，是企業(yè)合規(guī)性行為最佳的指導(dǎo)者和監(jiān)督者。因此，在數(shù)據(jù)評(píng)估過(guò)程中，數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)加強(qiáng)與監(jiān)管部門溝通交流，積極尋求監(jiān)管部門的指導(dǎo)意見(jiàn)，及時(shí)改正不恰當(dāng)?shù)臄?shù)據(jù)收集和處理行為，防患于未然。

（四）對(duì)標(biāo)GDPR完善企業(yè)隱私政策

為了防控法律風(fēng)險(xiǎn)，中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)參照GDPR的規(guī)定，基于數(shù)據(jù)評(píng)估結(jié)果，進(jìn)一步完善隱私政策，具體如下。

（1）明確數(shù)據(jù)收集和處理的目的。數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)該事先具體明確地說(shuō)明其收集和處理個(gè)人數(shù)據(jù)的目的，避免使用“出于正當(dāng)商業(yè)目的”“根據(jù)法律要求”“為了提供更好的服務(wù)”等抽象性說(shuō)明。個(gè)人數(shù)據(jù)的處理應(yīng)當(dāng)始終與原目的一致，數(shù)字經(jīng)濟(jì)企業(yè)在目的范圍之外的領(lǐng)域不能對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理，除非法律另有規(guī)定或者再次獲取數(shù)據(jù)主體的有效同意。

（2）積極履行提示說(shuō)明義務(wù)。數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)單獨(dú)制定隱私政策。數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)在隱私政策中使用通俗易懂的語(yǔ)言為用戶說(shuō)明該企業(yè)對(duì)用戶數(shù)據(jù)收集和處理的內(nèi)容、方式、范圍等重要信息，且對(duì)出現(xiàn)的專業(yè)術(shù)語(yǔ)進(jìn)行解釋說(shuō)明，保證用戶在對(duì)隱私政策充分了解的前提下作出授權(quán)同意，防止因數(shù)據(jù)主體知情權(quán)受到妨害產(chǎn)生的法律糾紛。

（3）合規(guī)設(shè)置同意選項(xiàng)。首先，不得設(shè)置默認(rèn)同意。數(shù)字經(jīng)濟(jì)企業(yè)在隱私政策中預(yù)先勾選同意選項(xiàng)，不能充分表明數(shù)據(jù)主體與數(shù)字經(jīng)濟(jì)企業(yè)簽訂合同的真實(shí)意思，使數(shù)字經(jīng)濟(jì)企業(yè)收集和處理用戶個(gè)人數(shù)據(jù)喪失正當(dāng)性基礎(chǔ)。同時(shí)，默認(rèn)同意也不符合同意應(yīng)當(dāng)“自由”和“特定”的要求。其次，不得設(shè)置概括性同意?；跀?shù)字經(jīng)濟(jì)企業(yè)對(duì)個(gè)人數(shù)據(jù)處理活動(dòng)進(jìn)行的清晰說(shuō)明，數(shù)據(jù)主體有選擇部分同意、部分不同意的權(quán)利。數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)按照不同的數(shù)據(jù)處理目的在隱私政策的概括同意選項(xiàng)下分出多個(gè)子項(xiàng)以供數(shù)據(jù)主體自由選擇。

五、結(jié)語(yǔ)

GDPR數(shù)據(jù)主體同意制度的設(shè)計(jì)充分體現(xiàn)了對(duì)數(shù)據(jù)主體人格利益的尊重和對(duì)數(shù)字經(jīng)濟(jì)企業(yè)技術(shù)向善的引導(dǎo)，具有保護(hù)個(gè)人數(shù)據(jù)權(quán)利、強(qiáng)化企業(yè)社會(huì)責(zé)任的價(jià)值取向。在GDPR數(shù)據(jù)主體同意制度框架下，中國(guó)數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)積極承擔(dān)合規(guī)義務(wù)，設(shè)立數(shù)據(jù)保護(hù)專員，強(qiáng)化企業(yè)內(nèi)部數(shù)據(jù)治理與監(jiān)督機(jī)制，通過(guò)技術(shù)設(shè)計(jì)充分保障數(shù)據(jù)主體同意權(quán)，防控企業(yè)法律風(fēng)險(xiǎn)、自主或者委托第三方開(kāi)展數(shù)據(jù)治理與風(fēng)險(xiǎn)評(píng)估并對(duì)標(biāo)對(duì)表GDPR完善企業(yè)隱私政策，以形成長(zhǎng)效競(jìng)爭(zhēng)優(yōu)勢(shì)。

注釋：

（1）本文對(duì)“個(gè)人信息”和“個(gè)人數(shù)據(jù)”之間的細(xì)微差別不作區(qū)分， 而是根據(jù)具體語(yǔ)境交替使用兩者。

（2）適用于向歐盟數(shù)據(jù)主體提供產(chǎn)品、服務(wù)或者監(jiān)控相關(guān)行為，或處理和持有居住在歐盟境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)的任何組織機(jī)構(gòu)。

（3）對(duì)違法企業(yè)的罰金最高可達(dá)2000萬(wàn)歐元（約合1.5億元人民幣）或者其全球營(yíng)業(yè)額的4%，以高者為準(zhǔn)。

（4）案例為BGHZ 13，334： Leserbrief-Urteil.

（5）案例為15BGH NJW 1954，1404，1404.

（6）因?yàn)镮CO vs.Facebook Ireland案件中某些事件發(fā)生在GDPR生效前，英國(guó)信息專員辦公室（簡(jiǎn)稱ICO）必須根據(jù)舊法“1998年數(shù)據(jù)保護(hù)法”作出處罰決定，因此本文僅就 CNIL vs. Google LLM.案展開(kāi)分析。2013年，F(xiàn)acebook允許亞歷山大·科根（Alexander Kogan）在其平臺(tái)上發(fā)布一款性格測(cè)試應(yīng)用“This is your digital life”，并通過(guò)隨機(jī)發(fā)放紅包的方式大力推廣，獲得了30萬(wàn)用戶的個(gè)人數(shù)據(jù)。而且因當(dāng)時(shí)Facebook允許用戶授權(quán)該應(yīng)用獲取社交關(guān)系及其好友數(shù)據(jù)，導(dǎo)致亞歷山大·科根間接獲得額外近5000萬(wàn)人的數(shù)據(jù)。此后，亞歷山大·科根將該數(shù)據(jù)的一部分與其他組織共享，其中包括劍橋分析公司的母公司SCL集團(tuán)，后者利用該數(shù)據(jù)影響了美國(guó)的政治競(jìng)選活動(dòng)。ICO發(fā)現(xiàn)，至少有一百萬(wàn)英國(guó)用戶的個(gè)人數(shù)據(jù)屬于被非法收集的數(shù)據(jù)?；谧?017年5月開(kāi)展的調(diào)查結(jié)果，ICO對(duì)Facebook愛(ài)爾蘭公司作出50萬(wàn)英鎊的罰款決定。

（7）GDPR第9條第（1）款規(guī)定，特殊種類的個(gè)人數(shù)據(jù)即敏感個(gè)人數(shù)據(jù)包括揭示種族或民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的個(gè)人數(shù)據(jù)、唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)、健康、自然人的性生活或性取向的數(shù)據(jù)。

（8）GDPR第4條第1款（11）項(xiàng)：數(shù)據(jù)主體的“同意”是指數(shù)據(jù)主體依照其意愿自愿作出的、特定的、知情的及明確的確認(rèn)意思表示。其聲明或明確肯定的行為作出的這種意思表示，表明其同意對(duì)其相關(guān)的個(gè)人數(shù)據(jù)進(jìn)行處理。

（9）包括個(gè)人數(shù)據(jù)類型、數(shù)據(jù)主體權(quán)利、控制者和處理者身份和聯(lián)系方式、控制者和處理者的義務(wù)及責(zé)任、數(shù)據(jù)保護(hù)影響評(píng)估結(jié)果、個(gè)人數(shù)據(jù)處理目的、向第三方傳輸數(shù)據(jù)情況、數(shù)據(jù)接收方、個(gè)人數(shù)據(jù)儲(chǔ)存期限等。

（10）GDPR第35條第（1）款：處理，尤其是運(yùn)用新技術(shù)進(jìn)行處理，考慮到處理的性質(zhì)、范圍、背景和目的，可能對(duì)自然人的權(quán)利和自由產(chǎn)生較高風(fēng)險(xiǎn)，因此，在進(jìn)行數(shù)據(jù)處理前，控制者應(yīng)對(duì)擬進(jìn)行的處理操作進(jìn)行個(gè)人數(shù)據(jù)保護(hù)影響評(píng)估。存在類似較高風(fēng)險(xiǎn)的一系列類似處理操作可統(tǒng)一進(jìn)行一次評(píng)估。

參考文獻(xiàn)：

[1]程嘯.論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利[J].中國(guó)社會(huì)科學(xué)，2018，（3）：107.

[2]高富平.個(gè)人信息使用的合法性基礎(chǔ)——數(shù)據(jù)上利益分析視角[J].比較法研究，2019，（2）：77.

[3]蔣舸.個(gè)人信息保護(hù)法立法模式的選擇——以德國(guó)經(jīng)驗(yàn)為視角[J].法律科學(xué)（西北政法大學(xué)學(xué)報(bào)），2011，29（2）：118.

[4]甘紹平.信息自決權(quán)的兩個(gè)維度[J].哲學(xué)研究，2019，（3）：117.

[5]王利明.論個(gè)人信息權(quán)在人格權(quán)法中的地位[J].蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2012，33（6）：71-71.

[6]康德.實(shí)踐理性批判[M].韓水法，譯.北京：商務(wù)印書館，2003：95.

[7]齊愛(ài)民.個(gè)人信息保護(hù)法研究[J].河北法學(xué)，2008，（4）：17.

[8]王利明.數(shù)據(jù)共享與個(gè)人信息保護(hù)[J].現(xiàn)代法學(xué)，2019，41（1）：49.

[9]王澤鑒.人格權(quán)保護(hù)的課題與展望——人格權(quán)的性質(zhì)及構(gòu)造：精神利益與財(cái)產(chǎn)利益的保護(hù)[J].人大法律評(píng)論，2009，（1）：51.

[10]史際春，肖竹，馮輝.論公司社會(huì)責(zé)任：法律義務(wù)、道德責(zé)任及其他[J].首都師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2008，（2）：44.

[11]李炳毅，李東紅.企業(yè)社會(huì)責(zé)任論[J].經(jīng)濟(jì)問(wèn)題，1998，（8）：36.

[12]CNIL.Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC.[EB/OL].（2019-02-21）[2019-11-14].https：//www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.

[13]葉名怡.論個(gè)人信息權(quán)的基本范疇[J].清華法學(xué)，2018，（5）：144.

[14]京東法律研究社.歐盟數(shù)據(jù)憲章：《一般數(shù)據(jù)保護(hù)條例》（GDPR）評(píng)述及實(shí)務(wù)指引[M].北京：法律出版社，2018.

[15]Article 29 Working Party. Guidelines on consent under Regulation 2016/679[EB/OL].（2018-04-10）[2019-11-14].https：//ec.europa.eu/newsroom/article29/document.cfm？action=display&doc_id=51030.

[16]High-Level Expert Group on Artificial Intelligence.Ethics guidelines for trustworthy ai[EB/OL].（2019-04-08）[2019-11-14].https：//ec.europa.eu/futurium/en/ai-alliance-consultation.